MANUAL DE ADMINISTRACION INTEGRAL DE RIESGOS

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 0 de 50

Contenido

INTRODUCCIÓN .......................................................................................................................................1

1. DEFINICIÓN ...................................................................................................................................3

2. OBJETIVOS DEL MANUAL .........................................................................................................3

2.1. OBJETIVO GENERAL .................................................................................................................3

2.2. OBJETIVOS ESPECÍFICOS .......................................................................................................3

3. ALCANCE ...................................................................................................................................3

4. MARCO NORMATIVO ..............................................................................................................4

5. CONCEPTOS BASICOS. .........................................................................................................6

6. ROLES Y RESPONSABILIDADES CON RELACION A LA ADMINISTRACION DEL

RIESGO. ..............................................................................................................................................10

7. METODOLOGÍA PARA LA IDENTIFICACIÓN, ANÁLISIS Y VALORACIÓN DEL RIESGO

11

ANEXOS ...................................................................................................................................................28

Anexo 2 .....................................................................................................................................................29

Anexo 4 .....................................................................................................................................................32

Anexo 5 .......................................................................................................................................................0

Anexo 8 .......................................................................................................................................................0

BIBLIOGRAFIA ..........................................................................................................................................5

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 1 de 50

INTRODUCCIÓN

La Corporación Autónoma Regional de La Guajira emite los siguientes criterios de orientación a los procesos de la entidad para la toma de decisiones con respecto a la Administración Integral de los Riesgos que puedan afectar el cumplimiento de su función constitucional y legal, los objetivos institucionales, la misión, los planes, programas y proyectos de la entidad, y exhorta a que sean aplicadas por todos los actores involucrados.

La Administración Integral de Riesgos es un proceso participativo que incluye varios pasos, los cuales, cuando son ejecutados de manera secuencial, posibilitan mejoras continua en el proceso de toma de decisiones. Administración de riesgos es el término aplicado a un método lógico y sistemático para establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, función o proceso de una forma que permita a las organizaciones minimizar pérdidas y maximizar oportunidades.

Este manual contiene la metodología para llevar a cabo la identificación, análisis y valoración del riesgo dentro de cada uno de los procesos, iniciando con la identificación del contexto estratégico, además de establecer los actores y responsables del proceso de Administración del Riesgo, define las políticas generales de Administración del Riesgo aplicables para CORPOGUAJIRA.

Estas políticas están armonizadas con el Manual Técnico del Modelo Estándar de Control Interno para el estado Colombiano MECI 2005-2014 (Ley 87 de 1993, Decreto 1599 de 1993 y el Decreto 943 de 2014), con el Sistema de Gestión de la Calidad (Ley 872 de 2003 y el Decreto 4110 de 2004) y la NTC GP 1000:2009, las Guías para la gestión del Riesgo 2011-2014 y de Corrupción 2015 y las Guía y/o Manual para la elaboración de Políticas del Daño Antijurídico.

Para la elaboración del presente Manual se tomó como referencia los lineamientos del Departamento Administrativo de la Función Pública establecidos mediante las Guía de Administración del Riesgo de 2011 y 2014, para la gestión del Riesgo de Corrupción 2015, la NTC-ISO 31000:2011, la NTC 5254:2006 para la Gestión del Riesgo y la NTC: ISO 9001:2015 y las Guías y/o Manual para la elaboración de Políticas del Daño Antijurídico

Basado en las guías mencionadas, se identifican los objetivos, alcance, definiciones generales y se establece la Metodología para la Identificación, Análisis y Valoración de Riesgo, así como Actores y Responsables que participan en esta actividad. Así como el rol de las Oficinas de Control Interno y Asesora de Planeación, que harán el seguimiento al cumplimiento de las acciones formuladas y promoverá que en cada proceso y/o dependencia, se desarrollen aquellos procedimientos, o controles que contribuyan a mejorar la gestión de los riesgos y al cumplimiento de la(s) política(s) de la Corporación, respectivamente.

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 2 de 50

Es muy importante tener en cuenta como elemento fundamental, que el principal objetivo de cualquier sistema de gestión corporativo es la búsqueda de la mejora continua. Trabajar estos sistemas de forma independiente resulta una tarea complicada, debido al excesivo número de procedimientos que obliga a hacer actividades similares, por lo que su integración conlleva a una mayor simplicidad y eficiencia de la gestión administrativa de la Corporación, considerando que su implementación en una “necesidad de hoy y una obligación de mañana”.

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 3 de 50

1. DEFINICIÓN

El presente Manual es una guía para orientar metódicamente a los responsables de procesos en la identificación, análisis y valoración de los riesgos que puedan presentarse en el desarrollo de sus actividades y permite definir un lenguaje unificado en toda la entidad para la Administración del Riesgo.

Por otra parte permite orientar a la definición de los planes de acciones que debe establecer cada uno de los procesos con el fin de mitigar y prevenir los riesgos, y así enfocar los esfuerzos a la mejora, estableciendo responsabilidades, políticas y seguimiento a estas acciones. La Administración de riesgos consiste en identificar oportunidades y evitar o mitigar pérdidas

2. OBJETIVOS DEL MANUAL

2.1. OBJETIVO GENERAL

Fortalecer la implementación y desarrollo de las prácticas de la administración del riesgo en la Corporación Autónoma Regional de La Guajira, CORPOGUAJIRA, mediante una herramienta metodológica para el Sistema Integrado de Gestión Corporativo, que permita a través del adecuado tratamiento de los riesgos, controlar las situaciones que puedan impactar el cumplimiento de la misión y los objetivos institucionales.

2.2. OBJETIVOS ESPECÍFICOS

• Generar una visión integral acerca de la administración y evaluación de riesgos, consolidada en un ambiente de control adecuado a la Corporación.

• Asegurar el cumplimiento de normas, leyes y regulaciones vigentes sobre Administración del Riesgo.

• Proteger los recursos de la Corporación, resguardándolos contra la materialización de los riesgos.

• Fomentar entre los funcionarios de la Corporación la actitud preventiva encaminada a identificar, analizar y evaluar los riesgos, involucrándolo y comprometiéndolo en las acciones encaminadas a su administración y control.

3. ALCANCE

El presente Manual para la Administración del Riesgo, aplica a todos los procesos, para la identificación, análisis, valoración, tratamiento, monitoreo, control y comunicación de los riesgos del Sistema de Gestión Integrado de CORPOGUAJIRA, e incluye la(s) Política(s) para su administración, por Proceso, integrando en él, la Prevención del daño antijurídico.

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 4 de 50

4. MARCO NORMATIVO

Constitución Política de 1991 Artículos 2, 209, 269 y 366

Ley 87 de 1993: Por el cual se establece normas para el ejercicio del Control Interno en las Entidades y Organismos del Estado y se dictan otras disposiciones.

Decreto 1599 de 1993: Por el cual adopta el Modelo Estándar de Control Interno para el Estado colombiano MECI 1000:2005

Ley 489 de 1998: Estatuto básico de organización y funcionamiento de la Administración Pública.

Decreto No 943 de 2014: Por el cual se actualiza el Modelo Estándar de Control Interno –MECI-

Ley 1474 de 2011: Estatuto Anticorrupción. Artículo 73. “Plan Anticorrupción y de Atención al Ciudadano” que deben elaborar anualmente todas las entidades, incluyendo el mapa de riesgos de corrupción, las medidas concretas para mitigar esos riesgos, las estrategias Antitrámites y los mecanismos para mejorar la atención al ciudadano.

Decreto 1081 de 2015 Único del Sector de la Presidencia de la República.-

Art .2.1.4.1 y siguientes Señala como metodología para elaborar la estrategia de lucha contra la corrupción la contenida en el documento “Estrategias para la construcción del Plan Anticorrupción y de Atención al Ciudadano.”

Ley de Transparencia y Acceso a la Información Pública Ley 1712 de 2014 Ley de Transparencia y de Acceso a la Información Pública.-

Art .9° Literal g) Deber de publicar en los sistemas de información del Estado o herramientas que lo sustituyan el Plan Anticorrupción y de Atención al Ciudadano.

Modelo Integrado de Planeación y Gestión Decreto 1083 de 2015 Único Función Pública

Art. 2.2.22.1 y siguientes Establece que el Plan Anticorrupción y de Atención al Ciudadano hace parte del Modelo Integrado de Planeación y Gestión.

Decreto 1716 de 2009 Obligatoriedad de los Comités de Conciliación y sus funciones.

Decreto 4085 de 2011 Formulación, evaluación y difusión de las politicas en materia de prevención de las conductas antijurídicas por parte de loa servidores y las entidades públicas.

Guía para su formulación 2013

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 5 de 50

NORMAS TÉCNICAS O ESTÁNDARES INTERNACIONALES

GUIA DE ADMINISTRACION DEL RIESGO DEL DAFP (versión 2011).

ICONTEC: NTC-5254. Norma Técnica Colombiana de Gestión del Riesgo.

ICONTEC: NTC-ISO 31000 Norma Técnica Colombiana –Principios y Directrices de la Gestión del Riesgo.

De conformidad con lo expuesto por el Departamento Administrativo de la Función Pública con respecto a la integración de los sistemas, “si bien los riesgos se gestionan de manera independiente, hay elementos comunes que pueden ser administrados de forma integrada”, aplicando esto para la administración de riesgos, representa, entre otros, los siguientes beneficios:

Estratégico: porque permite alinear la planeación institucional.

Gestión: articula los procesos para potenciar los resultados de la gestión institucional.

Eficiencia: Conlleva la disminución de tiempos y aprovechamiento de los recursos la ejecución de las actividades.

Riesgos: Permite que en la ejecución de actividades se consideren diferentes riesgos asociados a la gestión (de Procesos, Corrupción y de prevención del daño antijurídico).

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 6 de 50

5. CONCEPTOS BASICOS.

Las presentes definiciones fueron tomadas de los Manuales de la Función Pública, la Norma ISO 31000 2011 Decretos, Leyes y otros textos públicos, especializados en la materia.

Administración del Riesgo.- Conjunto de elementos de control que al interrelacionarse, permiten a la entidad pública evaluar aquellos eventos negativos tanto internos como externos, que pueden afectar o impedir el logro de los objetivos institucionales, o los eventos positivos, que permitan identificar oportunidades para un mejor cumplimiento de su función.

Análisis de Riesgo.- Determinar el impacto y la probabilidad del riesgo, dependiendo de la información disponible pueden emplearse desde modelos de simulación, hasta técnicas colaborativas.

Factores de Riesgo.- Manifestaciones o características medibles u observables de un proceso que indican la presencia de Riesgo o tienden a aumentar la exposición, pueden ser internos o externos a la Entidad.

Riesgo.- Posibilidad de ocurrencia de toda aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos o afectar algunos de los siguientes aspectos:

o El Patrimonio Corporativo o El logro de los objetivos misionales formulados por la Alta Dirección. o El diseño y desarrollo de estrategias institucionales o La forma y resultados de la operación institucional o La imagen de la Institución

No está el concepto de riesgo expresamente limitado a acontecimientos negativos o eventos inesperados. Incluye también la ausencia o subaprovechamiento de acontecimientos positivos u oportunidades.

Riesgo inherente o absoluto.-

El máximo riesgo sin los efectos mitigantes de la administración del riesgo.

Riesgo residual.-

Es el riesgo que queda cuando las técnicas de la administración del riesgo, (controles), han sido aplicadas.

Riesgo de Corrupción

“La posibilidad de ocurrencia de una conducta o comportamiento que puede derivar en una actuación corrupta, entendiéndose por tal un comportamiento de abuso en el

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 7 de 50

ejercicio de la función pública y de la legitimidad del Estado en beneficio personal o particular y en detrimento del interés general o colectivo” (DAFP).

Contexto organizacional: Es el entorno, todo cuanto rodea a la organización, en la cual se combinan factores internos y externos y condiciones que pueden afectar el objetivo de una organización a sus productos, servicios, y partes interesadas. La organización es un sistema abierto, por lo tanto mantiene transacciones con su ambiente, lo que hace que todo lo que ocurra en el exterior influya internamente.

Causas (factores internos o externos): Son los medios, circunstancias y agentes que generan los riesgos. Los agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo.

Perfil del Riesgo: El perfil de riesgo es el resultado consolidado del promedio ponderado de la probabilidad y del impacto, el cual debe ubicarse en el mapa (ZONA DE RIESGOS) de la entidad.

Control.- Es toda acción que tiende a minimizar los riesgos, significa analizar el desempeño de las operaciones, evidenciando posibles desviaciones frente al resultado esperado para la adopción de medidas preventivas. Los controles proporcionan un modelo operacional de seguridad razonable en el logro de los objetivos.

Consecuencia.-: Efectos generadores por la ocurrencia de un riesgo que afecta la consecución de los objetivos de la Corporación o el proceso. Pueden ser entre otros una perdida, daño perjuicio o detrimento

Puntos Críticos de Control (PCC). Es una actividad fundamental dentro del proceso o procedimiento en la que se debe ejercer un control, con el propósito de prevenir la materialización de un riesgo y el impacto que éste genera.

Costo.- Se entiende por costo las erogaciones, directas e indirectas en que incurre la entidad en la producción, prestación de un servicio o manejo de un riesgo.

Análisis de beneficio-costos.- Una herramienta de la Administración del Riesgo usada para tomar decisiones sobre el tratamiento del riesgo del proceso, en la cual se valoran y comparan los costos, financieros y económicos de implementar la medida, contra los beneficios generados por la misma. Una medida de la

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 8 de 50

Administración del riesgo será aceptada siempre que el beneficio valorado no supere al costo.

Dicha selección implica equilibrar los costos y los esfuerzos para su implementación, así como los beneficios finales, por lo tanto, se deberá considerar los siguientes aspectos como: Viabilidad jurídica, Viabilidad técnica, Viabilidad institucional y Viabilidad financiera o económica

Identificación del riesgo.- La identificación del riesgo es la determinación de las causas, con base en los factores internos y/o externos analizados para la entidad, y que pueden afectar el logro de los objetivos y finalmente definiendo los posibles efectos (consecuencias).

Indicador.- Es la valoración de una o más variables que informa sobre una situación y soporta la toma de decisiones, es un criterio de medición y de evaluación cuantitativa o cualitativa.

Mapas de riesgo Herramienta metodológica que permite hacer un inventario de los riesgos de manera ordenada y sistemática, definiéndolos e identificando la descripción de cada uno de ellos y las posibles consecuencias.

Plan de contingencia.-Parte del Plan de manejo de riesgos que contiene las acciones a ejecutar en caso de la materialización del riesgo, con el fin de dar continuidad a los objetivos de la entidad.

Plan de manejo del riesgo.-Plan de acción propuesto por el grupo de trabajo, cuya evaluación de beneficio costo resulta positiva y es aprobado por la Alta Dirección.

Tratamiento de riesgos.- Seleccionar y aplicar las medidas más adecuadas de control o financiación, con el fin de poder para evitar, prevenir o proteger, aceptar, retener o transferir; de este modo los daños intrínsecos al factor de riesgo, o bien aprovechar las ventajas que pueda reportarnos.

o Evitar el riesgo: Tomar las medidas encaminadas para impedir su materialización. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento o rediseño o sustitución de actividades y/o controles y acciones emprendidas.

o Compartir o transferir el riesgo: Cambiar la responsabilidad o reducir la carga o pérdidas que ocurran luego de la materialización de un riesgo mediante legislación, contrato, seguro o cualquier otro medio.

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 9 de 50

o Reducir el riesgo: Implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección), resultado de fortalecer o implementar controles.

o Asumir un riesgo: cuando el riesgo es aceptable o tolerable, puede quedar un riesgo residual que se mantiene, en este caso el Responsable o Líder del Proceso acepta la pérdida residual.

Plan de Mejoramiento.- Parte del plan de manejo que contiene las técnicas de la administración del riesgo, orientadas a prevenir, evitar, dispersar, transferir o asumir riesgos.

Retroalimentación, (Comunicar).- Información sistemática sobre los resultados alcanzados en la ejecución del plan, que sirve para actualizar y mejorar la planeación futura.

Seguimiento.- Recolección regular y sistemática sobre la ejecución del plan, que sirve para actualizar y mejorar la planeación futura.

Sistemas.-Conjunto de cosas o partes coordinadas, ordenadamente relacionadas entre sí, que contribuyen a un determinado objeto.

Técnicas para mejorar el riesgo.- Evitar o prevenir, reducir, dispersar, compartir o transferir y asumir riesgos.

Valoración del riesgo.- Consiste en identificar controles para el riesgo, verificar la efectividad de éstos y establecer el tratamiento. Es decir, es el resultado de confrontar la evaluación del riesgo con los controles existentes

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 10 de 50

6. ROLES Y RESPONSABILIDADES CON RELACION A LA ADMINISTRACION DEL RIESGO.

INSTITUCIONALES Y DE CORRUPCIÓN:

Del Jefe de la Oficina Asesora de Planeación y Representante de la Dirección.-

Es el encargado de velar por la elaboración de los mapas de riesgos de los procesos y por la aplicación de las políticas generales de Administración de Riesgos aprobadas por la alta Dirección, para tratar los posibles riesgos más importantes en cada Proceso.

También está a su cargo la consolidación de la información reportada por cada proceso a fin de obtener el “MAPA DE RIESGOS” de la entidad. De igual manera, será la encargada de coordinar su publicación en la página web, junto con el profesional de sistemas de la Corporación.

Con estas directrices se promueve que en cada proceso y/o dependencia, se desarrollen aquellos procedimientos, o controles que contribuyan a mejorar la gestión de los riesgos y al cumplimiento de la(s) política(s) de la Corporación.

Comité de Coordinación de Control Interno.-

Sera el responsable de aprobar los Mapas de Riesgos identificados por los diferentes procesos, así como las actualizaciones que se requieran, producto de las revisiones que se hagan a los mismos.

Responsables de Procesos.-

Dirigen la administración del riesgo en cada uno de sus procesos y son los responsables de la elaboración del mapa de riesgos por proceso, con el apoyo de las diferentes dependencias que hacen parte del mismo; esto es de la planeación, la definición de acciones la implementación de controles y mecanismos de evaluaciones de su efectividad. En lo que implica el autocontrol como implicado en el desarrollo y ejecución del proceso.

Directores territoriales.-

Son los responsables de la elaboración del mapa de riesgos, establecer e implementar los controles con los lineamientos establecidos en la planeación por parte de los responsables de cada uno de los procesos del Sistema Integrado de Gestión.

Jefe de Control Interno.-

Es el responsable de evaluar en forma independiente el componente de Administración de Riesgos como parte integral del sistema de Control Interno y el cumplimiento y efectividad tanto de las acciones como de la(s) política(s) de riesgos. Adicionalmente tiene la función asesora en la Gestión del Riesgo.

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 11 de 50

7. METODOLOGÍA PARA LA IDENTIFICACIÓN, ANÁLISIS Y VALORACIÓN DEL RIESGO

A. CONTEXTO ESTRATÉGICO ORGANIZACIONAL

El análisis del entorno y ambiente organizacional de la entidad dentro de la administración de riesgos, es la base para el establecimiento de la política de administración de riesgos, para ello desde el concepto de una Política de Administración de Riesgos, el contexto organizacional dentro de las entidades públicas, se define como un elemento de control, que permite establecer los lineamientos estratégicos que orientan las decisiones de la entidad, frente a los posibles riesgos que pueden afectar el cumplimiento de sus objetivos producto de la observación, distinción y análisis del conjunto de circunstancias internas y externas que puedan generar eventos que originen oportunidades o afecten el cumplimiento de su función, misión y objetivos institucionales y por supuesto sus procesos.

Para la realización de este contexto, se debe designar un grupo de trabajo integrado por funcionarios de diversas funciones o niveles de las dependencias. Una vez desarrolladas las actividades de preparación del grupo de trabajo, se inicia el análisis del Contexto estratégico de la institución y luego del proceso, que es la base para la identificación de los riesgos y es el elemento de control que permite establecer el lineamiento que orientara las decisiones de la entidad, frente a los riesgos que generan eventos que originen oportunidades o afecten el cumplimiento de su función, misión y objetivos institucionales.

El análisis se realiza a partir del conocimiento de situaciones del entorno de la Institución, tanto de carácter social, económico, cultural, de orden público, político, legal y/o cambios tecnológicos, entre otros.

Con la realización de esta etapa se busca que la entidad obtenga los siguientes resultados:

Identificación de los factores externos, que pueden ocasionar la presencia de riesgos, con base en el análisis de la información externa y los planes y programas de la Institución. Aquí se identifican circunstancias externas que puedan afectar el cumplimiento de los objetivos institucionales. Estas oportunidades y amenazas pueden ser tanto externas a la entidad como a cada proceso. Las situaciones del entorno pueden ser de carácter social, cultural, económico, tecnológico, político, ambiental y legal.

Identificación de los factores internos, que pueden ocasionar la presencia de riesgos con base en el análisis de los componentes Talento Humano, Direccionamiento Estratégico y demás estudios que sobre la cultura organizacional y el clima laboral se hayan adelantado en la entidad. Hacen parte de estos factores internos todas aquellas fortalezas y debilidades que representan situaciones de riesgo para el logro de los objetivos institucionales. Las situaciones internas están relacionadas con la estructura, cultura

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 12 de 50

organizacional, el modelo de operación, el cumplimiento de los Planes, Programas y Proyectos, los sistemas de información, los procesos y procedimientos y los recursos humanos, económicos y financieras con los que cuenta la Corporación y el proceso.

Claridad de la misión Corporativa, sus objetivos y una visión sistémica de la gestión, de tal manera que no se perciba esta herramienta como algo aislado del mismo accionar administrativo.

Aporte de información que facilite y enriquezca las demás etapas de la Administración del Riesgo, como el análisis y valoración del riesgo.

Con base en el análisis del contexto se obtiene la información sobre las causas, dentro de la identificación del riesgo.

Tabla 1.

CONTEXTO ESTRATEGICO DE LA ENTIDAD

CLASIFICACION FACTORES

EXTERNOS

INTERNOS

Esto permite hacer un inventario de los riesgos, definiendo en primera instancia las causas o factores de riesgo, tanto internos como externos, presentando una descripción de cada uno de estos, los agentes generadores y finalmente definiendo los posibles efectos.

Para la identificación de estos factores pueden utilizarse varias herramientas y técnicas, como son:

Revisiones de Documentos

•Técnicas de Recopilación de la Información Lluvia de Ideas Entrevistas Análisis Causa–Raíz

•Lista de Verificación o chequeo •Análisis de Supuestos •Diagramas

Causa–Efecto Flujo de Procesos De Influencia

•Análisis FODA •Juicio de Experto basado en la experiencia

Talleres de Trabajo

Análisis de Flujo de procesos

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 13 de 50

Lo importante es que estas herramientas permitan determinar la lista de eventos que podrían afectar a la organización en la consecución de sus principales objetivos y en el desarrollo de sus procesos. La información generada de la ejecución de esta etapa debe ser documentada en la matriz de identificación de riesgo por proceso por Proceso que la Entidad haya definido para este fin.

Para que todos los funcionarios y contratistas de la entidad conozcan y visualicen los riesgos, producto del análisis de los factores internos y externos de la entidad, es necesario la utilización de un formato, a continuación se presenta el siguiente que es de fácil comprensión:

Tabla 2.- Proceso

CONTEXTO ESTRATEGICO POR PROCESO

PROCESO:

OBJETIVO:

CLASIFICACION

Factor Externo Causa

Factor Interno Causa

Fuente Guía DAFP 2011

Estos factores a nivel institucional pueden en un momento dado colocar en riesgo el cumplimiento de los objetivos institucionales y de los procesos. (Anexo 2)

B. IDENTIFICACIÓN DEL RIESGOS

La identificación del riesgo se realiza determinando las causas, con base en los factores analizados para la entidad, que pueden afectar el logro de los objetivos. Esta actividad la debe realizar el equipo de trabajo, del proceso con el fin de identificar los riesgos presentes en este, en primera instancia. El proceso de identificación del riesgo es repetitivo y debe estar en permanente revisión y actualización de acuerdo con la dinámica de los procesos, en el resultado del análisis del Contexto, en el proceso de Planeación Institucional y debe partir de la claridad de los objetivos estratégicos de la entidad para la obtención de resultados.

La identificación de los riesgos se constituye en la etapa 2, y es el elemento de control que posibilita conocer los eventos potenciales, estén o no en control de la entidad, que ponen en riesgo su Misión, estableciendo agentes generadores o sea las causas y los efectos de su ocurrencia o sea las consecuencias potenciales. Una descripción de las características generales o las formas en que se manifiesta el riesgo, estos serían en esta etapa los aspectos más importantes:

Nombre del proceso

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 14 de 50

Objetivo del proceso Riesgo (Evento que puede afectar el logro del objetivo, qué puede ocurrir, en qué

consiste o cuáles son sus características?) Agente generador (Sujeto u objeto con capacidad para generar el riesgo, es el

factor de riesgo, puede ser una actividad determinada dentro de un procedimiento)

Causas (Por qué se puede presentar?) Efectos / Consecuencias (Cómo se refleja en la entidad?)

Para su visualización, es necesario la utilización del siguiente formato: (Anexo 5)

Tabla 4.- Identificación de Riesgos

IDENTIFICACION DEL RIESGO

PROCESO:

OBJETIVO:

Causa Riesgo Descripción Consecuencia

A pesar de que esta es una metodología general, puede ser adaptada por cada entidad, la Guía del DAFP, sugiere que los analizadores se realicen los siguientes interrogantes, teniendo en cuenta que es posible que en esta etapa de la identificación se establezca más de una causa como factor de riesgo a identificar:

¿Qué puede suceder? ¿Cómo puede suceder? ¿Cuándo puedo suceder? ¿Qué consecuencias tendría su materialización? Es importante centrarse en los riesgos más significativos para la entidad, relacionados con el desarrollo de los procesos y los objetivos institucionales. Esto permite dentro del análisis de los procedimientos identificar los puntos críticos de control. (Estos deben estar identificados dentro de los procedimientos y definidos en el control de documentos del sistema integrado de gestión). Es allí donde, la Alta Dirección adopta un papel proactivo en el sentido de visualizar en sus contextos estratégicos y misionales los factores o eventos que pueden afectar el desempeño corporativo, dadas las particularidades de funcionamiento de Corpoguajira como ente público y autónomo.

Cuando se identifican los riesgos asociados a las actividades identificadas como Puntos Críticos de Control, se realiza nuevamente el análisis en donde se priorizan aquellos eventos no deseados que pueden afectar el cumplimiento de la actividad y por consiguiente la salida del servicio.

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 15 de 50

B.1.- Clasificación de Riesgos:

Durante el proceso de identificación de los riesgos para facilitar el siguiente paso correspondiente al análisis del impacto, se puede establecer la Clasificación de los mismos. De acuerdo con los objetivos institucionales y el modelo de operación por procesos se han identificado los siguientes riesgos: de Proceso y de Corrupción

Riesgos de Procesos.- Con aquellos asociados a logro de los objetivos de los procesos institucionales, estos son revisados o validados cada vigencia por los líderes de procesos y se clasifican en:

1. Riesgos Estratégicos: Se relacionan con la forma de administrar la entidad y se enfoca al manejo de riesgos relacionados con la misión y el cumplimiento de los objetivos estratégicos, la definición de politicas, diseño y conceptualización de la entidad por parte de la alta dirección.1

2. Riesgos de Imagen: Corresponden con la percepción y la confianza por parte de la ciudadanía hacia la entidad.

3. Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucionales, de la definición de los procesos la estructura y la articulación entre dependencias de la entidad.

4. Riesgos de Cumplimiento: Se asociación con la capacidad de la entidad para cumplir con los requisitos legales, contractuales de ética pública y en general su compromiso con la comunidad.

5. Riesgos Financieros: Están relacionados con el manejo de los recursos de la entidad que incluyen, la ejecución presupuestal, elaboración de los estados financieros, pagos, manejos de excedentes de tesorería y el manejo sobre los bienes.

6. Riesgos Tecnológicos: Están relacionados con la capacidad tecnológica de la entidad, para satisfacer sus necesidades actuales y futuras el cumplimiento de la misión.

7. Riesgos de Corrupción: Están relacionados con las acciones u omisiones, uso indebido del poder, de los recursos o de la información para la obtención de un beneficio particular o de un tercero.

8. De seguridad de la información: Se asocia a la calidad, oportunidad, seguridad, pertinencia y confiabilidad de la información de largo, corto y mediano plazo.

Riesgos de Corrupción.-Son eventos que por acción u omisión mediante el uso indebido del poder, de los recursos o de la información, se perjudican los intereses de

1 Guía DAFP 18, Septiembre 2011, pág., 25

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 16 de 50

una entidad y en consecuencia, del Estado, para lo obtención de un beneficio particular2, se identifican en cada vigencia junto con los de procesos, se administra mediante el Mapa de Riesgos Institucional y se determinan acciones preventivas permanentes para evitar su materialización.

C. ANÁLISIS DEL RIESGO

Esta fase depende de la información obtenida en la identificación del riesgo y consiste en establecer la probabilidad de ocurrencia de los mismos y la importancia de sus consecuencias o impactos, éste último puede orientar la clasificación dentro de los tipos de riesgo identificados, para obtener la información que determinara el nivel del riesgo con el fin de que la Corporación defina las acciones para el manejo adecuado.

Se procede entonces a analizar los riesgos mediante la medición a través de la estimación de la probabilidad de su ocurrencia y las consecuencias o impactos que puede causar la materialización del riesgo. Entonces se tendrían en esta fase los siguientes pasos claves:

o Establecer la probabilidad o Determinar las consecuencias o Clasificar el riesgo o Estimar el Nivel del riesgo

Esta medición, en el campo de la Probabilidad se determina en los siguientes niveles establecidos en la Guía DAFP 2014:

Probabilidad:

Determinación cuantitativa o cualitativa de la posibilidad de que se verifique un suceso. Puede ser medida con criterios de frecuencia, si se ha materializado (por ejemplo número de veces en un tiempo determinado), o de factibilidad teniendo en cuenta la presencia de factores internos y externos que puedan propiciar el riesgo, aunque no se haya materializado.

Tabla 5 Calificación Probabilidad del Riesgo por Proceso

Nivel Concepto Descripción Frecuencia

5 Casi seguro

Se espera que el evento ocurra en la mayoría de las circunstancias.

Más de 1 vez al año.

4 Probable El evento probablemente ocurrirá en la mayoría de las circunstancias.

Al menos 1 vez en el último año.

3 Posible El evento podría ocurrir en algún momento. Al menos 1 vez en los últimos 2 años.

2 Improbable El evento puede ocurrir en algún momento. Al menos una vez en los últimos 5 años

1 Raro El evento puede ocurrir sólo en circunstancias excepcionales.

No se ha presentado en los últimos 5 años

2 Guía Estratégica Plan anticorrupción Presidencia de la Republica 2013

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 17 de 50

Fuente: Guía DAFP 2014

En el campo del Impacto, se tienen en cuenta las siguientes especificaciones para medir el riesgo:

Impacto:

Consecuencias que puede ocasionar a la entidad la materialización del riesgo, con base en los criterios de cumplimiento de objetivos y términos de gestión que sirven de guía para clasificar el nivel de impacto del riesgo, según estas características:

Tabla 6. Calificación del impacto por Proceso

Nivel Impacto Descripción en términos de cumplimiento de

Objetivos

1 Insignificante Si el hecho llegara a presentarse tendría consecuencias o efectos mínimos sobre la entidad.

2 Menor Si el hecho llegara a presentarse tendría bajo impacto o efecto sobre la entidad.

3 Moderado Si el hecho llegara a presentarse tendría medianas consecuencias o efectos sobre la entidad.

4 Mayor Si el hecho llegara a presentarse tendría altas consecuencias o efectos sobre la entidad.

5 Catastrófico Si el hecho llegara a presentarse tendría desastrosas consecuencias o efectos sobre la entidad.

Fuente: Guía de Administración del Riesgo (DAPF-2011)

Para determinar el impacto es posible utilizar los siguientes temas asociados a la anterior clasificación (B.1), relacionándolos con las consecuencias potenciales del riesgo identificado:

IMPACTO DE CONFIDENCIALIDAD EN LA INFORMACION IMPACTO DE CREDIBILIDAD O IMAGEN IMPACTO LEGAL IMPACTO OPERATIVO

D. EVALUACIÓN DEL RIESGO DEL PROCESO.-

En esta etapa se pueden comparar los resultados de la calificación del riesgo con los criterios determinados para definir el grado de exposición de la Corporación ante el mismo; de esta manera se distinguen los Niveles de riesgos como aceptables, moderados o inaceptables y priorizar las acciones necesarias para su tratamiento

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 18 de 50

En el procedimiento de calificación del Riesgo se debe estimar cada uno de los riesgos, según la siguiente matriz de acuerdo con las especificaciones en ésta determinada:

Matriz de Calificación, evaluación

Tabla 6. Matriz de Calificación, evaluación (Anexo 5) ZONA DE RIESGO

PR

OB

AB

ILID

AD

Casi Seguro 5 ZONA RIESGO

ALTA

ZONA RIESGO

ALTA

ZONA RIESGO

EXTREMA

ZONA

RIESGO

EXTRENA

ZONA RIESGO

EXTREMA

Probable 4 ZONA RIESGO

MODERADA

ZONA RIESGO

ALTA

ZONA RIESGO

ALTA

ZONA

RIESGO

EXTREMA

ZONA RIESGO

EXTREMA

Posible 3 ZONA RIESGO

BAJA

ZONA RIESGO

MODERADA

ZONA RIESGO

ALTA

ZONA

RIESGO

EXTREMA

ZONA RIESGO

EXTREMA

Improbable 2 ZONA RIESGO

BAJA

ZONA RIESGO

BAJA

ZONA RIESGO

MODERADA

ZONA

RIESGO ALTA

ZONA RIESGO

EXTREMA

Raro 1 ZONA RIESGO

BAJA

ZONA RIESGO

BAJA

ZONA RIESGO

MODERADA

ZONA

RIESGO ALTA

ZONA RIESGO

ALTA

Insignificante Menor Moderado Mayor Catastrófico

1 2 3 4 5

IMPACTO

D.1. Valoración del Riesgo:

La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo con los controles existentes, con el objetivo de establecer prioridades para su manejo y fijación de políticas. Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones.

Con la realización de esta etapa se busca que la entidad obtenga los siguientes resultados:

o Establecer la probabilidad de ocurrencia de los riesgos, que pueden disminuir la capacidad institucional de la entidad, para cumplir su propósito.

o Medir el impacto, las consecuencias del riesgo sobre las personas, los recursos o la coordinación de las acciones necesarias para llevar el logro de los objetivos institucionales o el desarrollo de los procesos.

o Establecer criterios de calificación y evaluación de los riesgos que permiten tomar decisiones pertinentes sobre su tratamiento.

D.2.- Políticas de Administración del Riesgo en Corpoguajira

Las Políticas del Riesgo son las orientaciones para la toma de decisiones respecto del tratamiento de los riesgos en la entidad. Para la consolidación de las Políticas de

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 19 de 50

Administración del Riesgo se deben tener en cuenta todas las etapas anteriormente desarrolladas.

Esta Política de Administración Integral de Riesgos, es la guía de acción que le permite a la organización coordinar y administrar los eventos que puedan afectar su operación y el logro de los objetivos de los procesos y procedimientos. (Anexo 8). Ésta política contribuye además al cumplimiento de los objetivos de la entidad y a la cobertura de sus actividades, procesos ante posibles daños, alteraciones, interrupción de sus servicios y del buen desarrollo de sus funciones, a la vez que genera los lineamientos sobre los cuales debe estar enfocada la Administración de los Riesgos para la entidad.

Durante la etapa de tratamiento de riesgos se aceptará el riesgo siempre y cuando el costo beneficio sea negativo y no afecte la política de seguridad.

Para realizar la valoración del Riesgo se debe tener en cuenta la posición del riesgo en la Matriz de calificación, evaluación, según la celda que ocupa aplicando los siguientes criterios:

Cuando Aceptar el Riesgo:

Cuando se mide la probabilidad e impacto de un riesgo residual y éste queda catalogado en nivel BAJO, se ASUMIRÁ el riesgo y administrará por medio de las actividades propias del proceso asociado y su control y registro de avance se realizara por medio del reporte SEMESTRAL de su desempeño.

Cuando Reducir el Riesgo:

Cuando el nivel del riesgo residual queda ubicado en la zona de riesgo MODERADA, se deberá incluir este riesgo en el Mapa de riesgo del Proceso, establecer acciones de Control Preventivas que permitan REDUCIR la probabilidad de ocurrencia del riesgo y se administrarán mediante seguimiento SEMESTRAL y se registrarán sus avances en el Sistema Integrado de Gestión.

Cuando Evitar el Riesgo:

Cuando el nivel del riesgo residual queda ubicado en la zona de riesgo ALTA, se deberá incluir el riesgo tanto en el Mapa de riesgo del Proceso como en el Mapa de Riesgo Institucional y se establecerán acciones de Control Preventivas que permitan EVITAR la materialización del riesgo. Se puede TRANSFERIR el riesgo a través de pólizas de seguros u otras opciones que estén disponibles. La Administración de estos riesgos será con periodicidad sugerida al menos MENSUAL y su adecuado control se registrará en el Sistema Integrado de Gestión.

Adicionalmente se deberán documentar al interior del proceso planes de contingencia para tratar el riesgo materializado, con criterios de oportunidad, evitando el menor daño en la prestación del servicio.

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 20 de 50

Cuando Compartir o Transferir el Riesgo:

Cuando el riesgo se encuentre en la Zona de Riesgo EXTREMA, se debe tratar de EVITAR Y TRANSFERIR el riesgo y proteger la entidad en caso de que éste se pueda materializar. Se puede TRANSFERIR el riesgo a través de pólizas de seguros u otras opciones que estén disponibles.

La Administración de estos riesgos será con periodicidad sugerida al menos MENSUAL y su adecuado control se registrará en el Sistema Integrado de Gestión. Se trata entonces de un riesgo que necesitará Medidas de Control tal como corresponda al seguimiento del riesgo que debe estar documentado.

Siempre que el riesgo sea calificado con impacto MAYOR O CATASTRÓFICO, la entidad debe diseñar planes de emergencia, contingencia y recuperación, para protegerse en caso de su ocurrencia.

Tabla 7. Tratamiento al Riesgo y Niveles Definidos

ZONAS DE RIESGOS

OPCIONES DE TRATAMIENTO DE RIESGOS

REGISTROS SEGUIMIENTO

Evitar Reducir Compartir

o Transferir Asumir NIVEL

RIESGO BAJO X ACEPTABLE Reporte de Gestión - avances al SIG

SEMESTRAL

RIESGO MODERADO

X INACEPTABLE

Mapa de Riesgo por Proceso e Institucional

SEMESTRAL RIESGO ALTO X X X INACEPTABLE

RIESGO EXTREMO

X X X INACEPTABLE


En cuanto a al Riesgo de Corrupción no es objeto de calificación ni evaluación pues es sencillamente es inaceptable dentro de la entidad. Sin embargo se deben establecer controles en los procesos para evitarlos. Lo cual dentro de la Política adoptada por la Corporación para este tipo de riesgos las acciones son: Evitar y Reducir el Riesgo.

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 21 de 50

D.3.-Controles:

Tipos de Controles

Con el enfoque de la Guía de administración del riesgo del DAFP, se debe tener en cuenta que para realizar la valoración del riesgo se parte de la evaluación de los controles existentes o por determinar es necesario recordar que estos se clasifican en:

Preventivos: Aquellos que actúan para eliminar las causas del riesgo, para prevenir su ocurrencia o materialización.

Correctivos: Aquellos que permiten el restablecimiento de la actividad, después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia.

Una vez identificada la clasificación de los controles es necesario describirlos estableciendo si son preventivos o correctivos y responder a las siguientes preguntas:

¿Se están aplicando una herramienta? ¿Los controles identificados están documentados? ¿Son efectivos para minimizar el riesgo? ¿Cuentan con responsables de ejecución y seguimiento? ¿La periodicidad de frecuencia de ejecución y seguimiento es adecuada?

Una vez se responda a las preguntas anteriores se procede a realizar la valoración de manera cuantitativa para lo cual se tuvo en cuenta la estructura definida por el DAFP y que se ajustó a las necesidades y lineamientos que requiere CORPOGUAJIRA de la siguiente manera:

Esto es definir si el control va orientado a mitigar la probabilidad o el impacto del riesgo.

Tabla 8. Valoración del riesgo

PARÁMETROS CRITERIOS TIPO DE CONTROL Puntaje

Probabilidad Impacto

Herramientas para ejercer el control

Posee una herramienta para ejercer el control 15

Existen actualmente manuales, instructivos o procedimientos para el manejo de la herramienta

15

En el tiempo que lleva la herramienta ha demostrado ser efectiva. 30

Seguimiento al control

Están definidos claramente los responsables de la ejecución del control y del seguimiento.

15

La frecuencia de ejecución del control y seguimiento es adecuada. 25

Total 100


MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 22 de 50

Teniendo en cuenta la descripción realizada en controles existentes, se evaluará así:

CRITERIOS VALORACIÓN DEL RIESGO

No existen controles. Se mantiene el resultado de la evaluación antes de controles

Los controles existen pero no son efectivos.

Se mantiene el resultado de la evaluación antes de controles

Los controles existen, son efectivos pero no están documentados.

Cambia el resultado a una casilla inferior de la matriz de evaluación antes de controles (el desplazamiento depende de sí el control afecta el impacto o la probabilidad)

Los controles son efectivos y están documentados

Pasa a escala inferior ( el desplazamiento depende del si el control afecta impacto o probabilidad

Ejemplos de tipos de Control comúnmente utilizados:3

Controles de Gestión

Políticas claras aplicadas

Seguimiento al plan estratégico y operativo

Indicadores de gestión

Tableros de control

Seguimiento a cronograma

Evaluación del desempeño

Informes de gestión

Monitoreo de riesgos

Controles Operativos

Conciliaciones

Consecutivos

Verificación de firmas

Listas de chequeo

Registro controlado

Segregación de funciones

Niveles de autorización

Custodia apropiada

Procedimientos formales aplicados

Pólizas

Seguridad física

Contingencia y respaldo

Personal capacitado

Aseguramiento y calidad

Controles Legales Normas claras y aplicadas

Control de términos

E. ELABORACIÓN DEL MAPA DE RIESGOS.-

El Mapa de Riesgos es una representación gráfica en forma de matriz, contiene a nivel estratégico los mayores riesgos a los cuales está expuesta la entidad o el proceso. Así mismo, a través de la construcción del Mapa se logra determinar y conocer las acciones de respuesta ante ellos tendientes a evitar, reducir, transferir, compartir o aceptar el

3 Guía DAFP-2011- PAG.33

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 23 de 50

riesgo, así como los responsables, el cronograma y los indicadores de cumplimiento de las mismas.

El Mapa de Riesgos debe realizarse por cada una de los Líderes de Procesos. Adicionalmente, a partir de los riesgos identificados se hace necesario que cada proceso formule los Indicadores que van a permitir realizar seguimiento a las acciones implementadas a fin de determinar la no ocurrencia del riesgo, los cuales deben ser documentados por cada proceso, monitoreados periódicamente y reportados en el Informe de Desempeño del Proceso según la frecuencia establecida.

Se deben elaborar los siguientes Mapas de Riesgo:

El Mapa de Riesgos Institucional: Contiene a nivel estratégico los mayores riesgos a los cuales está expuesta la entidad, permitiendo conocer las políticas inmediatas de respuesta ante ellos. El cual es elaborado por la Oficina Asesora de Planeación. (Ver

Anexo)

Mapa de Riesgos por Proceso: Facilita la elaboración del mapa institucional, que se alimenta de estos, teniendo en cuenta que solamente se trasladan al institucional aquellos riesgos que permanecieron en las zonas más altas de riesgo y que afectan el cumplimiento de la misión institucional y objetivos de la entidad.

De igual forma teniendo en cuenta que los riesgos de corrupción se convierten en una tipología de riesgos que debe ser controlada por la Corporación, como ente público que es, los riesgos relacionados con posibles actos de corrupción debe incorporarse en primer lugar al mapa de riesgos del proceso sobre el cual se han identificado, de modo tal que el responsable o líder del mismo pueda realizar el seguimiento correspondiente, en junto con los riesgos de gestión propios del proceso. Esto evita que se generen mapas separados de gestión y de corrupción y que el responsable tenga una mirada integral de todos los riesgos que pueden llegar a afectar el desarrollo de su proceso.

En segundo lugar los riesgos relacionados con posibles actos de corrupción deben incorporarse al mapa de riesgos institucional, con el fin de realizar el monitoreo respectivo por parte de la Oficina de Control Interno o quien haga sus veces, esto por tratarse de riesgos críticos frente al cumplimiento de la misión, visión y objetivos institucionales.

Este Modelo de Mapa contiene los ajustes en formulas listas desplegables y un instructivo para su diseño y ajuste en caso de considerarlo. Se entrega en CD. (Anexos 6 y 7)

Riesgos que se van a controlar

El control se efectuará a todos los riesgos que queden consignados en el Mapa de Riesgos, una vez se hayan realizado todas las etapas de identificación, análisis y valoración de riesgos. Se prestará especial atención a aquellos de ALTO IMPACTO y

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 24 de 50

PROBABILIDAD DE OCURRENCIA, con el fin de mantener actualizado el estado de dichos riesgos y prevenir situaciones que pongan en peligro el logro de la misión, objetivos, planes y proyectos de la Institución.

Acciones a desarrollar

Los líderes de proceso serán responsables de aplicar la metodología para el desarrollo de la identificación, análisis, valoración de los riesgos por cada uno de los procesos. De igual forma cada líder de proceso propondrá y ejecutará las acciones necesarias para mitigar sus riesgos y la Oficina de Planeación hará el acompañamiento en el desarrollo del proceso de administración de riesgos y la aplicación de la política, al igual que realizara el seguimiento al cumplimiento de las acciones formuladas.

Teniendo en cuenta la valoración de riesgos obtenida y la política institucional de Tratamiento de Riesgos de Procesos y Anticorrupción, se formulan las acciones de tratamiento de riesgos adoptada. Estas acciones se adelantaran según lo establecido en el procedimiento de Acciones Correctivas o de mejora, usando el formato establecido para tal propósito en el sistema integrado de gestión de la Corporación y los lineamientos para la gestión de riesgos anticorrupción.

Es necesario aclarar que el tiempo estimado para las acciones requeridas para el tratamiento del riesgo, su ejecución, e indicadores que permiten evaluar la acción propuesta, no debe superar cada vigencia, ya que ningún riesgo debe estar siempre.

Por otro lado para garantizar el cumplimiento de la Política, se sugiere se clasifique de dos formas, tal como lo manifiesta el Código Único Disciplinario, Por acción y por omisión. Para efectos de que de su materialización se derivaran las medidas de carácter administrativo o disciplinario necesarios que garanticen la normalización de la situación, subsanen el evento sucedido o eliminen la causa del riesgo identificado.

F. MONITOREO

Todos los responsables de la Administración de Riesgos deben monitorear la efectividad de las medidas de respuesta diseñadas y aplicadas para tratarlos.

Para el diseño de controles en los procesos, debe tenerse en cuenta los siguientes lineamientos:

• Preferir entre dos controles el que, ofreciendo el mismo beneficio que el otro, incurra en un menor costo.

• Preferir entre dos controles el que, teniendo igual costo, preste un mayor beneficio.

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 25 de 50

• Preferir entre dos controles que tengan igual costo y beneficio, el que sea más fácil de implementar.

• Las acciones de tratamiento resultantes del riesgo ya sean preventivas o correctivas deben estar encaminadas y relacionadas directamente al riesgo, con la mitigación, tratamiento y se pueden orientar de acuerdo al plan de mejoramiento para el tratamiento del riesgo incluido en el Mapa de Riesgos por proceso y de corrupción.

• Se debe realizar la actualización de los riesgos teniendo en cuenta su trazabilidad y la continuidad con versiones anteriores registrándolo en el mapa de riesgos y llevando un control de los riesgos totales y dejando evidencia de los cambios realizados.

• Al momento de eliminar un riesgo se debe dejar soporte de ello, ya sea por lista de asistentes o cualquier otro medio, en donde se describan las razones por las cuales se realiza esta acción.

• Cuando un riesgo se materialice, el responsable del proceso debe implementar las acciones correctivas necesarias y estas deben ser reportadas a la Oficina Asesora de Planeación lo más pronto posible.

• Los responsables de cada proceso, deben informar oportunamente a la Oficina Asesora de Planeación, los nuevos riesgos identificados en los procesos y/o subprocesos, y solicitar la inclusión en el formato Mapa de Riesgos por proceso y Mapa de Riesgos de corrupción.

• La Oficina Asesora de Planeación, cada trimestre solicita vía correo electrónico a los responsables de los procesos, actualizar el estado y cambios en los riesgos, en el Mapa de Riesgos por proceso y Mapa de Riesgos de corrupción y cuando el Mapa de Riesgos se encuentre actualizado, debe ser remitido por el Líder del Proceso por correo electrónico a la Oficina Asesora de Planeación.

• El objetivo del enfoque preventivo para el riesgo y que debe primar en la Corporación, buscando la mínima calificación hasta que se lleve a la ZONA DE RIESGO BAJA. Por lo tanto, todo riesgo que continúe con una calificación Alta y Extrema después de los controles se debe tratar con acciones preventivas o correctivas, según sea el caso y estas acciones se deben registrar en el tratamiento del riesgo incluido en el Mapa de Riesgos por Proceso de Corrupción.

• Todos los líderes de procesos deben remitir el estado de avance de su Mapa de Riesgos a la Oficina Asesora de Planeación preferiblemente dentro de los diez (10) días hábiles siguientes a la fecha de corte al cumplirse el periodo Semestral

• La Política General de Administración de Riesgos se debe preservar en el tiempo. Sin embargo, se debe realizar una revisión anual o ante cambios

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 26 de 50

estructurales u operacionales, para asegurar que se ajuste a las necesidades de la Corporación, lo que se hará con el apoyo del Comité de Control interno, quien integrará la Administración de Riesgos en el diseño de los procesos.

• Con respecto a la Guía de Prevención del Daño Antijurídico, debe manejarse con los mismos preceptos desarrollados por la Defensa Jurídica del Estado, pero al final deben constituirse en parte integral de la administración del riesgos de la Corporación.

• Para efectos de los riesgos de contratación la Agencia Nacional de Contratación Pública –Colombia Compra Eficiente–,ha emitido el Manual para la Identificación y Cobertura del Riesgo en los Procesos de Contratación4, a través de esta metodología se busca mejorar los procesos contractuales en sus diferentes etapas, el manual plantea que la administración del riesgo “debe cubrir desde la planeación hasta la terminación del plazo, la liquidación del contrato, el vencimiento de las garantías de calidad o la disposición final del bien; y no solamente la tipificación, estimación y asignación del riesgo que pueda alterar el equilibrio económico del contrato”. En este orden de ideas es preciso que la Corporación analice su articulación con la Administración del Riesgo institucional, con el fin de evitar reprocesos, ya que su análisis se orienta a mejorar la consecución de los objetivos del sistema de compras y contratación pública, se sugiere adoptar la guía establecida por Colombia Compra Eficiente la cual contiene todos los pasos de manera didáctica y es igual para todas las entidades, ir al link:http://www.colombiacompra.gov.co/sites/default/files/manuales/cce_manual_riesgo_web.pdf.

G. PLAN DE CONTINGENCIA:

Con el plan de contingencia se definen las acciones que emprenderá la entidad para controlar posibles situaciones que puedan afectar la prestación del servicio o la operación de la entidad, la cual puede verse interrumpidas por hechos que no pudieran controlarse y reducir los efectos negativos que puede originarlo. Con las medidas de previsión diseñadas para ello, este plan se elabora previamente y en él se establecen las alertas que corresponden a señales que indican situaciones críticas según el tipo de riesgo a tratar, identificando los métodos para afrontar los aspectos sujetos a contingencias.

4 Colombia Compra Eficiente consultado el 18 de enero de 2016 en el link http://www.colombiacompra.gov.co/es/colombia-compra-eficiente

http://www.colombiacompra.gov.co/sites/default/files/manuales/cce_manual_riesgo_web.pdf

http://www.colombiacompra.gov.co/es/colombia-compra-eficiente

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 27 de 50

H. DIVULGACIÓN Y CAPACITACIÓN DE LA ADMINISTRACIÓN DEL RIESGO.-

La Política de Administración del Riesgo debe ser un tema conocido por todos los funcionarios y contratistas, para lo cual la Corporación Autónoma Regional de la Guajira utilizara la intranet o página web, de la entidad para su publicación y comunicar por todos los medios masivos de comunicación y divulgación al interior de la entidad. (Correo electrónico, carteleras, etc.).

En cuanto a la capacitación se realizara mínimo anualmente en la entidad y durante el desarrollo del proceso de Administración del Riesgo en cada área de la Corporación, o cuando lo ameriten los cambios de normatividad.

De igual forma es importante la asesoría y acompañamiento por parte de las Oficinas de Control Interno y de Planeación a los responsables de los procesos en la implementación del componente de Administración del Riesgo, de modo que se conviertan en multiplicadores de esta información al interior de sus procesos y facilitar así la aplicación de la metodología; fomentándola como una actividad inherente en el desarrollo de todas las tareas asignadas a los servidores de la entidad, a partir del trabajo en equipo y la orientación a resultados.

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 28 de 50

ANEXOS

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 29 de 50

Anexo 1

CONTEXTO ESTRATEGICO INSTITUCIONAL DE RIESGOS ASOCIADOS A LAS DEBILIDADES Y AMENAZAS REALIZADO RESULTANTE DEL DIOAGNOSTICO INICIAL.

Como complemento a la identificación de los factores externos e internos se analizaron las siguientes amenazas y debilidades de la Corporación durante 2015, asociadas a los posibles riesgos y sus consecuencias:

Tabla N° 3.-

Amenaza/Riesgo

Factores: 1. Económicos:

Amenaza Riesgo Consecuencia

La devaluación del peso frente al dólar.

Disminución de la Capacidad adquisitiva de la Corporación

Afecta los presupuestos elaborados dentro del Plan de Acción.

Politicas de Transferencias de recursos de la nación, las tendencias inflacionarias, impuestos y gravámenes. Austeridad del Gasto

Incremento de los costos de bienes y servicios

Disminución la capacidad presupuestal para asumir los compromisos. Incremento de las cargas fiscales.

Reformas en el sistema General de Regalías

Disminución de la capacidad presupuestal.

Incumplimiento de los compromisos misionales.

2. Políticos:

Relaciones politicas regionales Disminución e inoportunidad en el giro de los recursos propios por parte de los entes territoriales.

Inestabilidad económica y administrativa.

La descoordinación del Sistema Nacional Ambiental

Inestabilidad y gobernabilidad. Afecta las competencias de la corporación.

La politización y discrepancias de la gestión ambiental.

Incumplimiento de los compromisos de los entes territoriales

Desmejorando los recursos propios de la entidad y de su capacidad administrativa

3. Legales

La reforma de la Ley 99 de 1993. Pérdida de autonomía Centralización de sus decisiones o la regionalización de la misma.

La injerencia del nivel central en los campos de competencia de la corporación,

Presiones politicas y gremiales. Pérdida de credibilidad e imagen institucional.

Afecta la autonomía para el cumplimiento de la misión de la corporación en la aplicación de la normatividad ambiental.

La ocurrencia de hechos de corrupción (cohecho, clientelismo, presiones indebidas en las decisiones de la corporación, sobornos, tráfico de influencias)

Afectan la reputación de la entidad.

Desvirtúan los esfuerzos de la entidad en materia de anticorrupción

4. Sociales

Problemas de orden público. Pérdida de credibilidad e imagen de la entidad

Incumplimiento de la misión institucional.

Inseguridad por grupos al margen de la ley.

Pérdida de vidas humanas Demandas, indemnizaciones.

5. Culturales

La diversidad étnica y cultural Sobreexplotación de los Bajo compromiso de la comunidad con

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 30 de 50

recursos naturales. la sostenibilidad ambiental.

Falta de control e incumplimiento de las normas ambientales.

6. Medioambientales

Desastres naturales y fenómenos climáticos

Control y uso insostenible de los recursos naturales.

Desbordaría la capacidad de respuesta de la entidad.

7. Tecnológicos

Las politicas de conectividad Capacidad de inversión en los aspectos tecnológicos.

Inseguridad en los sistemas de información, bases de datos y servicios en línea de la entidad,

Con relación a los riesgos asociados a las debilidades se identificaron los siguientes:

Tabla N° 4.-

Debilidad/Riesgo

Factores:

1. Económicos y Financieros

Debilidad Riesgo Consecuencia

Baja capacidad o efectividad de la gestión de recaudos

Potencial reducción de los Recursos para la gestión.

Deterioro de la gestión. Incumplimiento de los planes programas y proyectos de la Corporación.

Deficiencias en el control de la ejecución presupuestal.

Incumplimiento de los procesos misionales, afectando la credibilidad institucional

Aplazamientos, Demandas, Sanciones

2. Cultura Organizacional

Poca participación del personal en los eventos de carácter cultural, informativos, de capacitación y recreativos. Disminución de la capacidad de

gestión del funcionario

Bajo compromiso, desmotivación y desinterés de los servidores públicos de la entidad, afectan la gestión de la entidad.

El nivel de pertenencia y sentido de responsabilidad en el manejo de la información, por la pérdida de valores

3. Cumplimiento de Planes y Programas

Debilidad en la formulación de proyectos.

Pérdida de credibilidad institucional y de la sostenibilidad de sus acciones

Seguimientos deficientes a los proyectos y actividades generan reprocesos e incumplimiento y sanciones de los entes de control.

Entrega Inoportuna e inadecuada informes por parte de las dependencias

Incumplimiento de Objetivos institucionales

Desconocimiento de la importancia dentro de la misión institucional de los planes formulados, de cuya ejecución se proporciona insumo para la toma de decisiones y el cumplimiento de la misión.

Deficiente logística necesaria (vehículos, combustible, equipos de cómputo e insumos para las oficinas).

Incumplimiento de las actividades de la entidad

Aplazamiento y/o retraso en el logro de los objetivos institucionales, incumpliendo con las solicitudes de los usuarios. Requerimientos y sanciones

Ausencia de articulación con otras entidades afines.

Insostenibilidad de los planes y programas

Pérdida de oportunidades de alianzas estratégicas para el cumplimiento de objetivos institucionales.

4. Procesos y Procedimientos.

Falta de conocimiento de los objetivos institucionales

Pérdida de la Certificación de Calidad.

Afectaría la imagen y credibilidad de la entidad

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 31 de 50

Debilidades en la apropiación y aplicabilidad del sistema integrado de gestión.

Controles ineficientes para administración del riesgo.

Requerimientos y sanciones

La desarticulación de los Procesos y Procedimientos desde la Sede principal con la Territorial Sur.

Debilidad en la implementación del sistema de Integrado de Gestión

Información deficiente y desactualizada. Reprocesos y costos improductivos

Retrasos en las transferencias de documentos de los archivos de gestión al archivo central.

Perdida de la memoria institucional.

Requerimientos y demandas, sanciones disciplinarias

Falta de aplicación de técnicas y normas de archivos

5. Modelo de Operación

Fallas en la implementación de los procesos internos.

Pérdida de Credibilidad e imagen institucional

Demora en los trámites por parte de los funcionarios.

Control directivo para la coordinación y competencias de las dependencias,

La Baja interacción en los procesos internos de comunicación.

Requerimiento, y sanciones disciplinarias

6. Recursos Humanos

Insuficiente personal en los procesos.

Incumplimientos de objetivos institucionales. Enfermedades de tipo laboral

Acumulación de carga laboral, estrés.

Deficiencias en el Plan de capacitación

Incumplimiento del Sistema de Gestión

Desactualización de los funcionarios en sus procesos y procedimientos.

7. Sistemas de información y comunicación

Nivel de tecnología utilizada en los procesos y sistemas de información

Deficiencias en la infraestructura, incumplimiento de objetivos institucionales.

Obsolescencia en equipos y herramientas (software y hardware e internet entre otros).

Vulnerabilidad de la seguridad de la información.

Pérdida de Memoria institucional Requerimientos, Demandas y sanciones disciplinarias.

Deficiente conservación de la información digital y servicios de internet.

Inexactitud en la información y reportes de los sistemas.

Aumento de requerimiento, demandas y sanciones disciplinarias.

Deficiente nivel de integración de sistemas.

Pérdida de recursos económicos invertidos

Subutilización de los sistemas, pérdida de recursos

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 32 de 50

Anexo 2

Formato Matriz Contexto de Procesos

CONTEXTO ESTRATEGICO POR PROCESO

PROCESO:

OBJETIVO:

CLASIFICACION

Factor Externo Causa

Factor Interno Causa

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 0 de 50

Anexo 3

Formato de Contexto estratégico

FECHA DE ACTUALIZACION:

Nombre del proceso:

Objetivo del Proceso:

Desarrollado por:

CONTEXTO ESTRATÉGICO

PROCESO

Lo que podría ocasionar…

EVENTO (RIESGO)

INTERNO EXTERNO

CAUSA

Tipo Debido a.. Tipo Debido a…Puede suceder …

CONSECUENCIA

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 1 de 50

Anexo 4

FASE:

FECHA:

No. DEL RIESGO RIESGO CLASIFICACIÓN CAUSAS DESCRIPCION CONSECUENCIAS POTENCIALES

R1 0 CUMPLIMIENTO . 0

R2 0 DE IMAGEN . 0

R3 0 OPERATIVO . 0

R4 0 TECNOLOGICO . 0

R5 0 OPERATIVO . 0

R6 0 OPERATIVO . 0

R7 0 . 0

R8 0 . 0

R9 0 . 0

R10 0 . 0

R11 0 . 0

R12 0 . 0

R13 0 . 0

R14 0 . 0

R15 0 . 0

R16 0 . 0

R17 0 . 0

R18 0 . 0

R19 0 . 0

R20 0 . 0

R21 0 . 0

R22 0 . 0

Elaboró:

Desarrollado por:

IDENTIFICACIÓN DE RIESGOS

00/01/1900

Seleciona una clasificación y ubica tu riesgo dentro de una

categoría

OBJETIVO DEL PROCESO

Aprobó:Revisó:

NOMBRE DEL PROCESO

IDENTIFICACION DEL RIESGO

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 2 de 50

FASE:FECHA:

PROBABILIDAD (1-5)IMPACTO (1-

5)CATEGORÍA SUBCATEGORÍA

PERFIL DEL RIESGO

(1-100)ZONA RIESGO MEDIDA RELACIÓN COSTO - BENEFICIO

DESCRIPCIÓN DE LA MEDIDA ANTES DE

VALORACION DEL CONTROL

R1 0 2 3 CREDIBILIDAD USUARIOS REGION 24 ZONA RIESGO MODERADA REDUCIR EL RIESGO

R2 0 2 2 CREDIBILIDAD USUARIOS REGION 16 ZONA RIESGO BAJA EVITAR EL RIESGO

R3 0 3 2 OPERATIVO

AJUSTES DE UNA

ACTIVIDAD

CONCRETA

24 ZONA RIESGO MODERADA EVITAR EL RIESGO

R4 0 3 3 OPERATIVOINTERMITENCIA EN

EL SERVICIO36 ZONA RIESGO ALTA

COMPARTIR O

TRANSFERIR EL

RIESGO

R5 0 4 3 OPERATIVOCAMBIOS EN LOS

PROCEDIMIENTOS48 ZONA RIESGO ALTA

COMPARTIR O

TRANSFERIR EL

RIESGO

R6 0 2 3 OPERATIVO

AJUSTES DE UNA

ACTIVIDAD

CONCRETA

24 ZONA RIESGO MODERADA REDUCIR EL RIESGO

R21 0 0 FALSO

R22 0 0 FALSO

ZONA RIESGO EXTREMAZONA RIESGO ALTA

Desarrollado por: ZONA RIESGO MODERADA

ZONA RIESGO BAJA

NOMBRE DEL PROCESO

CALIFICACION Y EVALUACION


MEDIDAS DE RESPUESTACALIFICACION EVALUACIÓN

NOMBRE DEL RIESGONo. DEL RIESGO

TIPO IMPACTO

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 3 de 50

FASE:

FECHA:

R1 3 2

R2 2 2

R3 2 3

R4 3 3

R5 3 4

R6 3 2

R7 0 0

R8 0 0


INSIG. MENOR MOD. MAYOR CAT ZONA RIESGO MODERADA

ZONA RIESGO BAJA

Desarrollado por:

ProcesoImpacto

(X)Probabilidad (Y)

Cas

i

Seg.

No. Riesgo

GRÁFICA

00/01/1900

NOMBRE DEL PROCESO OBJETIVO DEL PROCESO

Rar

oIm

p.Po

sibl

ePr

oba.

R1R2

R3 R4

R5

R6

R7R80

1

2

3

4

5

0 1 2 3 4 5

PROB

ABILIDA

D

IMPACTO

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 4 de 50

FECHA:

HERRAMIENTASMANUALES O

PROCEDIMIENTOSSON EFECTIVOS

HAY

RESPONSABLESES ADECUADO

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

0 0 0 0 0 0

Desarrollado por:

R4

0,0

R22

CONTROL

DEL RIESGO

CONTROL

DEL

PROCESO

R1

0

R7

DESCRIPCIÓN (Control al riesgo)

0

0

0

0

R2

R5

No. DEL RIESGO

0

0

R6

NOMBRE DEL RIESGO

VALORACION DE CONTROLES

CALIFICACIÓN

DEL CONTROL

R3 0

0

0

0

0

0

SEGUIMIENTO AL CONTROL

0

0

0

NOMBRE DEL PROCESO

#¡REF!

CALIFICACIÓN DEL ESTADO

HERRAMIENTAS PARA EJERCER CONTROL


MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 5 de 50

FASE:

FECHA:

PROBABILIDAD

(1-5)

IMPACTO

(1-5)

PUNTAJE

HERRAMIENTA

PUNTAJE

SEGUIMIENTO

PUNTAJE

FINAL

CONTROL DEL

PROCESO

R1 0 2 3ZONA RIESGO

MODERADA 0 0 0

R2 0 2 2ZONA RIESGO

BAJA0 0 0

R3 0 3 3ZONA RIESGO

MODERADA0 0 0

R4 0 3 3ZONA RIESGO

ALTA0 0 0

R5 0 4 3ZONA RIESGO

ALTA0 0 0

R6 0 2 3ZONA RIESGO

MODERADA0 0 0

R21 0 0 0 FALSO 0 0 0

R22 0 0 0 FALSO 0 0 0

Desarrollado por:

0,0

ZONA RIESGO CONTROLES

NOMBRE DEL PROCESO

NOMBRE DEL RIESGO

CALIFICACION


No. DEL RIESGOCONTROL PARA

MITIGAR

#¡REF!

VALORACIÓN DEL RIESGO

00/01/1900

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 6 de 50

FASE:

FECHA:

No. DEL RIESGO NOMBRE DEL RIESGO PERFIL DEL RIESGO CAUSASMEDIDA DE

MITIGACIÓNDEFINICIÓN DE LA ACCIÓN FECHA DE INICIO

FECHA

TERMINACIÓN

RESPONSABLE

IMPLEMENTACIÓNCONTROLES

CALIFICACIÓN DEL

CONTROL1T 2T 3T 4T DESCRIPCION DEL SEGUIMIENTO 1T 2 T 3T 4T DESCRIPCION DEL SEGUIMIENTO 1 T 2 T 3T 4 T DESCRIPCION DEL SEGUIMIENTO

R1 0 USUARIOS REGION . REDUCIR EL RIESGO 0 0

R2 0 USUARIOS REGION . EVITAR EL RIESGO 0 0

R3 0

AJUSTES DE UNA

ACTIVIDAD

CONCRETA

. EVITAR EL RIESGO 0 0

R4 0INTERMITENCIA EN EL

SERVICIO.

COMPARTIR O

TRANSFERIR EL RIESGO0 0

R5 0CAMBIOS EN LOS

PROCEDIMIENTOS.

COMPARTIR O

TRANSFERIR EL RIESGO 0 0

R6 0

AJUSTES DE UNA

ACTIVIDAD

CONCRETA

. REDUCIR EL RIESGO 0 0

R21 0 0 . 0 0 0

R22 0 0 . 0 0 0

Diseñado por:

SEGUIMIENTO Y MONITOREO

00/01/1900

SEGUIMIENTO Y MONITOREO OFICINA CONTROL INTERNOSEGUIMIENTOS TRIMESTRAL Y MONITOREO LIDER PROCESOSEGUIMIENTOS TRIMESTRAL Y MONITOREO REPRESENTANTE ALTA

DIRECCION

NOMBRE DEL PROCESO

#¡REF!

TRATAMIENTO DE LOS RIESGOS


MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 7 de 50

FECHA:

PROBABILIDAD IMPACTOPERFIL

DEL

RIESGO

ZONA RIESGO

R1 0 2 3 24ZONA RIESGO

MODERADA14% 3


BAJA9% 1


MODERADA14% 3


ALTA21% 8


ALTA28% 13


MODERADA14% 3

R21 0 0 0 0 FALSO 0% 0

R22 0 0 0 0 FALSO 0% 0

100% 32

Diseñado por:

#¡REF!


RIESGO INHERENTE

RIESGOS

PARTICIPACIÓ

N DEL RIESGO

EN EL PROCESO

PONDERACIÓN

PERFIL DEL

RIESGO

172

00/01/1900

NOMBRE DEL PROCESO

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 8 de 50

FASE:

FECHA:

PERFIL RIESGO

INHERENTE

CONTROL DEL

PROCESO

RIESGO

CONTROLADO

RIESGO

RESIDUAL

32 0 0 32

Diseñado por:

#¡REF!

OBJETIVO DEL PROCESONOMBRE DEL PROCESO

2. Cuando de acuerdo al criterio de la coordinación de Control Interno, basados en datos históricos se determine que la ponderación inicial no

refleja la realidad del riesgo en el proceso.

Control Interno: La disminucion de la probabilidad e impacto dependerá del cumplimiento de uno de los dos factores mencionados a

continuación

1. Cuando el riesgo residual sea =< a 25

PERFIL DE RIESGO RESIDUAL CONSOLIDADO

RIESGO RESIDUAL CONSOLIDADO

00/01/1900

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 9 de 50

FASE:

FECHA:

PROBABILIDAD

(1-5)

IMPACTO

(1-5)EVALUACION RIESGO CONTROLES REDUCE PROBABILIDAD IMPACTO

PERFIL DEL

RIESGO (1-100)

R1 #¡REF! 2 3ZONA RIESGO

MODERADA. . 2 2 16 ZONA RIESGO BAJA REDUCIR EL RIESGO 0

R2 #¡REF! 2 2 ZONA RIESGO BAJA . . 3 2 24ZONA RIESGO

MODERADAEVITAR EL RIESGO 0

R3 0 3 2ZONA RIESGO

MODERADA. . 3 3 36 ZONA RIESGO ALTA EVITAR EL RIESGO 0

R4 0 3 3 ZONA RIESGO ALTA . . 4 3 48 ZONA RIESGO ALTACOMPARTIR O TRANSFERIR EL RIESGO0

R5 0 4 3 ZONA RIESGO ALTA . . 2 3 24ZONA RIESGO

MODERADACOMPARTIR O TRANSFERIR EL RIESGO0

R6 0 2 3ZONA RIESGO

MODERADA. . 0 0 0 FALSO REDUCIR EL RIESGO 0

R21 0 0 0 FALSO . . 0 0 0 FALSO 0 0

R22 0 0 0 FALSO . . 0 0 0 FALSO 0 0

Diseñado por:

OPCIONES MANEJO ACCIONESNo. DEL RIESGO NOMBRE DEL RIESGO INDICADOR

CALIFICACION

VALORACIÓN DEL RIESGO

ENCARGADO DE DAR

RESPUESTANUEVA EVALUACIÓN

NUEVA CALIFICACIÓN

00/01/1900

NOMBRE DEL PROCESO

#¡REF!


MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 10 de 50

FASE:

FECHA:

R1 2 2

R2 2 3

R3 3 3

R4 3 4

R5 3 2

R6 0 0

R21 0 0

R22 0 0


INSIG. MENOR MOD. MAYOR CAT ZONA RIESGO MODERADA

ZONA RIESGO BAJA

Diseñado por:

Rar

o

Probabilidad (Y)

Cas

i

Seg

.

#¡REF!Pro

ba.

Pos

ible

Imp.

GRAFICA DESPUÉS

DEL CONTROL

00/01/1900

NOMBRE DEL PROCESO

#¡REF!


#¡REF!

Proceso No. RiesgoImpacto

(X)

R1

R2 R3

R4

R5

R6R7R80

1

2

3

4

5

0 1 2 3 4 5

PROBA

BILIDA

D

IMPACTO

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 0 de 50

Anexo 6

PROPUESTA DE POLÍTICA PARA LA ADMINISTRACIÓN DE RIESGOS DE LA CORPORACIÓN AUTÓNOMA REGIONAL DE LA GUAJIRA.

El diseño de esta política de administración de los riesgos, está basada en la normatividad vigente, así como a los parámetros de seguimiento al Modelo Estándar de Control Interno.

Administrar los riesgos buscando la cobertura de todos los procesos, actividades propias del control, donde se observe claramente la identificación y el análisis de los riesgos en cada uno de ellos, al igual que las acciones de Mitigación, Monitoreo, Tratamiento y Prevención para éstos, evitando que la materialización de los riesgos comprometa los servicios que ofrece la entidad y la consecución de sus objetivos.

Además debe darse a conocer a todo el Personal para que estén atentos a las normas, alternativas y mecanismos que integran la Administración del Riesgo, así como el ejercicio y seguimiento de las mismas.

En tal sentido se presenta como anexo al presente Manual, la propuesta de POLITICA INTEGRAL PARA LA ADMINISTRACIÓN DE RIESGOS DE CORPOGUAJIRA, que debe ser revisada y/o ajustada si lo requiere, sino deberá ser adopta y comunicada por la Oficina de Planeación o el Comité de Alta Dirección.

Al analizar esta información de acuerdo con los lineamientos establecidos por el Departamento Administrativo de la Función Pública en la Guía de septiembre de 2011 y acorde a la legislación expedida por el estado y normas ISO aplicables a los sistemas de Gestión de Calidad, se realizó la siguiente política, cuyo propósito es el siguiente:

OBJETIVO:

“Controlar todos aquellos riesgos que pueden impedir el cumplimiento de los objetivos institucionales, mediante una efectiva administración de los mismos, como herramienta de gestión que responda a las directrices organizacionales actuales, con la participación de los servidores públicos responsables garantizando la gestión institucional.”

ALCANCE:

Esta política de Riesgos es aplicable a todos los procesos de la entidad y a todas las operaciones ejecutadas por los funcionarios en el cumplimiento de sus funciones.

Los roles y responsabilidades son los mismos descritos para la administración integral del riesgo.

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 1 de 50

TIPOS DE RIESGOS EN CORPOGUAJIRA:

De acuerdo con los objetivos institucionales y el modelo de operación por procesos se han identificado los siguientes riesgos: de Proceso y de Corrupción y están descritos en Numeral A.1., del presente Manual

Niveles de Riesgos.-

Son los mismos niveles identificados en el Numeral A.1., del presente Manual.

Tabla 7. Respuesta al Riesgo y Niveles Definidos

ZONAS DE RIESGOS NIVELES DE ACEPTACION

REGISTROS SEGUIMIENTO

SI LA ZONA DE RIESGO ES BAJA

ACEPTAR EL RIESGO Reporte de Gestión - avances al SIG

Trimestral

SI LA ZONA DE RIESGO ES MODERADA

REDUCIR EL RIESGO

Mapa de Riesgo por Proceso e Institucional

Mensual

NO ACEPTABLE

SI LA ZONA DE RIESGO ES ALTA

EVITAR,

NO ACEPTABLE

SI LA ZONA DE RIESGO ES EXTREMA

EVITAR, COMPARTIR O TRANSFERIR

NO ACEPTABLE


Cuando mediante el seguimiento se prevea la posible materialización del riesgo, se establecerá una acción preventiva de manera inmediata en el Plan de Mejoramiento Institucional, con acciones diferentes a las planificadas en el Mapa de Riesgos levantado Inicialmente y se analizaran la pertinencia de los controles previamente definidos.

Una vez materializado un riesgo, el líder del proceso procederá de manera inmediata a aplicar un Plan de contingencia que permita la continuidad del servicio o el restablecimiento del mismo, (si es el caso), se documentara dicho plan en el Plan de Mejoramiento Institucional y replantear los riesgos del proceso.

Para efectos de aplicación de la Política Administración de Riesgos se requiere:

Conciencia y Cultura

Pensamiento visionario

Responsabilidad en la toma de decisiones

Comunicación

Relación costo-beneficio

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 2 de 50

METODOLOGIA PARA LA GESTION DEL RIESGO EN CORPOGUAJIRA

Como se viene aplicando en el proceso de Administración del Riesgo en la Corporación Autónoma Regional de La Guajira, se tomó como referente la Guía 18 establecida por el DAPF y la Guía para la gestión de Riesgos de Corrupción de 2015, que están identificados en el Manual de Administración del Riesgo, las cuales deben seguir los equipos de trabajo conformados en cada proceso al inicio de cada vigencia, con los siguientes pasos:

PASO 1.- Establecer el contexto en cada proceso a partir del análisis de los entornos estratégicos de la Corporación y el objeto del proceso en cuestión. (VER FORMATO ANEXO)

PASO 2.-Mediante análisis o lluvia de ideas, el equipo de trabajo del proceso se analizaran las causas que podrían afectar el cumplimiento del objetivo del proceso sus posibles efectos se nombra el riesgo y se clasifica. (VER FORMATO ANEXO).

PASO 3.- Haciendo uso de la matriz de probabilidad e impacto se determina el nivel del riesgo inherente a la actividad analizada. (VER MATRIZ)

PASO 4.- Se identifican los posibles controles, se valoran según la matriz de valoración de controles dispuesta en el Manual, se determinan el nuevo riesgo, se documenta el resultado final como riesgo Residual, calificando su manejo (VER FORMATO)

PASO 5.- se identifican las acciones a comenzar durante cada vigencia para la adecuada administración del riesgo, se determina el responsable de cada una de ellas y la evidencia que quedara de dicha actividad, se documenta en el Mapa de Riesgos por Proceso y se envía antes del 20 de enero de cada vigencia a la Oficina Asesora de Planeación para su revisión, y aprobación, publicación y registro en el Sistema Integrado de Gestión SIG.

PASO 6.- La Oficina Asesora de Planeación consolida el Mapa de Riesgos Institucional con los riesgos en nivel Alto y Moderado y los de Corrupción, lo presenta ante el Comité de Dirección, y lo publica antes del 31 de enero de cada vigencia, en la Web.

PASO 7.- Los responsables por cada una de los procesos realizaran el monitoreo de las acciones de manera permanente, registraran en el Sistema Integrado de Gestión los avances durante los primeros diez (10) días de cada mes y analizaran con sus equipos de trabajo el estado de sus procesos frente a los controles establecidos. Según el resultado de la administración del riesgo, el líder del proceso solicitara ajuste a los riesgos o controles y elaborara acciones de mejoramiento o correctivas en el Plan de Mejoramiento Institucional.

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 3 de 50

LA POLÍTICA DE PREVENCION DEL DAÑO ANTIJURIDICO, EN LA ADMINISTRACION DEL RIESGO EN CORPOGUAJIRA.-

Se adjunta a este Manual la conclusión del diseño de la Política de Prevención del Daño Antijurídico en la cual se trabajó con el equipo de la Asesora de Dirección y el Comité de Conciliación de la Corporación, que al final se consideró forma parte de la Política de Gestión del riesgo de la entidad.

Es importante aclarar que el documento resultante de la Prevención del daño Antijurídico en la Corporación, es un documento atípico que a pesar de que no está tratado totalmente en el presente Manual, si debe formar parte del Sistema Integrado de Gestión como un documento independiente pero sincronizado con la política de Gestión del Riesgo de la Corporación.

La Corporación procedió en cumplimiento del Decreto 1716 de 2009, referido al diseño de la Política de Prevención del Daño Antijurídico, acogiendo la recomendación de la Agencia Nacional para la Defensa del Estado en cuanto a que para la extensión de los efectos de dicha política se debe elaborar bajo la teoría de administración de la calidad total, que consiste en la “integración de todas las funciones y procesos de una organización para alcanzar la mejora continua de la calidad de los servicios.”

Para efectos del diseño de la política de prevención del daño antijurídico se busca al igual que en la Gestión del riesgo, participen todas las áreas con el propósito de evitar el riesgo frente a una falencia de la entidad que ocasiona reclamaciones y/o condenas en su contra, por lo tanto se realizó ésta fundamentada en el método de investigación propuesta por la Agencia en su Guía 11, de lo siguiente:

1. Buscar puntos que generen problemas. 2. Relacionar las posibles causas 3. Identificar las causas 4. Formular medidas para corregir las causas 5. Implementar las medidas 6. Verificar los resultados

El Comité de Conciliación de la Corporación según la Resolución 02002 de 21015, está integrado por los siguientes funcionarios quienes concurrirán con voz y voto y serán miembros permanentes y además son loa responsables del diseño de dicha política:

El Director General, quien lo presidirá

El Subdirector de Gestión ambiental.

El Subdirector de Autoridad Ambiental.

El Secretario General.

El Jefe de la Oficina Asesora Jurídica.

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 4 de 50

Acciones conjuntas a implementar

Esta propuesta debe afianzarse en toda la entidad con la participación de un equipo interdisciplinario y adoptarse mediante acto administrativo y puede contener entre otros los siguientes aspectos:

• La Identificación de los hechos relevantes que afecten a la entidad en todos sus procesos (jurídicos o legales, de corrupción, operacionales etc.).

• La Descripción o análisis realizados a nivel general

• Listado de las posibles causas generadoras prevenibles.

• Medidas para corregir el/los problema(s)

Esta política esta armonizada con la política integral del sistema para que se maneje de manera general, debe comunicarse a todos los funcionarios y propender por su empoderamiento.

MANUAL DE RIESGO

CODIGO: CG-M-01

VERSIÓN: 2

FECHA: 15/06/2017

Página 5 de 50

BIBLIOGRAFIA

• Guía Para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 2011 y 2014

• Guía de Gestión del Riesgo de Corrupción, Departamento Administrativo de la Función Pública, 2015.

• Metodología de la Estrategia para la Construcción del Plan Anticorrupción y Atención al Ciudadano.

Álvarez Torres, Martin G. – Manual para elaborar Manuales de Políticas y Procedimientos, Primera Edición, Editorial Panorama – México.

Guía para el diseño de la Política del Riesgo Antijurídico- 2013

MANUAL DE ADMINISTRACION INTEGRAL DE RIESGOS

Documents

Transcript of MANUAL DE ADMINISTRACION INTEGRAL DE RIESGOS